張?zhí)?/p>

摘要：高校面臨的網(wǎng)絡(luò)安全問題凸顯了網(wǎng)絡(luò)安全的重要性，首先簡述了網(wǎng)絡(luò)信息安全方面的威脅與防范措施，包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、VPN技術(shù)，并對VPN方面的安全技術(shù)訪問控制技術(shù)、隧道技術(shù)、加密技術(shù)和密鑰管理技術(shù)有了簡要的概括，這些技術(shù)對于高校網(wǎng)絡(luò)信息安全提供了有效的保障，最后，說明了VPN技術(shù)在高校中的應(yīng)用帶來的便捷與校內(nèi)資源共享的便利。

關(guān)鍵詞：網(wǎng)絡(luò)安全；隧道技術(shù)；VPN

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）32-0065-02

1 高校網(wǎng)絡(luò)面臨的威脅及安全需求

根據(jù)目前的網(wǎng)絡(luò)架構(gòu)來說，高校的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比較典型的形式是以數(shù)據(jù)網(wǎng)絡(luò)中心機(jī)房為核心，各個學(xué)院或者行政部門等作為下級分支，各個學(xué)院部門可以為不同規(guī)模大小的局域網(wǎng)。數(shù)據(jù)網(wǎng)絡(luò)中心機(jī)房作為核心地點，也是高校服務(wù)器的存放地點，和其他部分的銜接方式也呈現(xiàn)多樣化的形態(tài)，包括直連、專線、遠(yuǎn)程連接等。

對校園網(wǎng)絡(luò)安全產(chǎn)生的威脅有許多的種類，主要涉及竊密和失密、信息篡改、黑客侵入等。針對第一種竊密和失密主要是采用如利用間諜軟件、利用搭線竊聽等進(jìn)行密碼破譯或竊取。針對第二種信息篡改主要是在非授權(quán)的情況下在信息的傳輸過程或者在信息的存儲過程中，采用篡改等手段來修改信息。針對第三種黑客侵入則主要是采用各種黑客技術(shù)侵入網(wǎng)絡(luò)、獲取資料、破壞系統(tǒng)等。這些網(wǎng)絡(luò)安全問題既有可能是來自于校園外部，也有可能來自于校園內(nèi)部。

2 網(wǎng)絡(luò)安全防范措施及VPN技術(shù)

2.1 防火墻技術(shù)

在高校環(huán)境里，通俗來講防火墻技術(shù)就是在互聯(lián)網(wǎng)與校園網(wǎng)之間設(shè)置一道防止非法入侵的關(guān)卡，可有效保護(hù)校園內(nèi)部網(wǎng)絡(luò)資源不受破壞，在校園網(wǎng)防護(hù)上面起到重要的作用，目的就是防止互聯(lián)網(wǎng)用戶未經(jīng)授權(quán)的訪問，從而確保校園網(wǎng)用戶免受非法用戶的侵入。是目前流行的計算機(jī)網(wǎng)絡(luò)安全防御方式，主要有四個部分組成，分別是服務(wù)訪問政策、驗證工具、數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)。

2.2 數(shù)據(jù)加密

數(shù)據(jù)加密是指發(fā)送方將一段明文信息通過加密算法與加密密鑰轉(zhuǎn)換成無意義的密文，而接收方則對該密文通過解密算法和解密密鑰進(jìn)行轉(zhuǎn)換，還原出原文信息的技術(shù)。

數(shù)據(jù)加密技術(shù)不僅是通信數(shù)據(jù)安全的基石，更是網(wǎng)絡(luò)安全技術(shù)不可或缺的。目前數(shù)據(jù)加密已經(jīng)成為了主流，是多種信息保密手段的最佳選擇。通過密碼技術(shù)進(jìn)行數(shù)據(jù)加密，有效減少非授權(quán)用戶的入網(wǎng)和非法竊聽，預(yù)防各類惡意軟件造成的干擾，實現(xiàn)信息隱蔽和保護(hù)信息安全。數(shù)據(jù)加密算法分為兩種：對稱加密算法和非對稱加密算法。主要區(qū)別在于對稱加密算法是收發(fā)兩端使用相同密碼，即加密密鑰同時也用作解密密鑰，而非對稱加密算法則需要公鑰與私鑰，公鑰與私鑰是一對，必須同時使用才可實現(xiàn)加密與解密，因此這種算法叫做非對稱加密算法。

加密技術(shù)目前在網(wǎng)絡(luò)安全中主要應(yīng)用在網(wǎng)絡(luò)傳輸層與應(yīng)用層。在數(shù)據(jù)傳輸?shù)倪^程中所使用的加密技術(shù)對于網(wǎng)絡(luò)傳輸層的用戶通常是透明的。而在應(yīng)用層的加密技術(shù)主要是針對應(yīng)用程序類在業(yè)務(wù)處理過程中，對應(yīng)用數(shù)據(jù)進(jìn)行存儲加密、完整性鑒別、身份鑒定等技術(shù)，典型的如用戶身份驗證、CA證書、授權(quán)管理、數(shù)字簽名等。

2.3 VPN技術(shù)

VPN（Virtual Private Network）即虛擬專用網(wǎng)，簡稱VPN技術(shù)，指在公共網(wǎng)絡(luò)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和目標(biāo)地址轉(zhuǎn)換實現(xiàn)私有數(shù)據(jù)在公網(wǎng)上安全的、可靠的傳輸。VPN以共享的公共網(wǎng)絡(luò)為基礎(chǔ)，在Internet中任意兩個節(jié)點間動態(tài)的構(gòu)建虛擬專用網(wǎng)絡(luò)，實現(xiàn)私有數(shù)據(jù)安全的、可靠的傳輸[1]。VPN在高校的校園網(wǎng)絡(luò)中應(yīng)用廣泛，主要通過四項安全技術(shù)，即隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和訪問控制技術(shù)在不同的網(wǎng)絡(luò)之間建立一條可以通信的信任通道，來實現(xiàn)與高校內(nèi)部網(wǎng)絡(luò)資源的互聯(lián)和共享。

3 VPN的安全技術(shù)

隨著VPN技術(shù)的快速發(fā)展，使得校外查閱校內(nèi)資源相當(dāng)便捷，目前高校使用的VPN主要包括四項安全技術(shù)，分別為：訪問控制技術(shù)、隧道技術(shù)、加密技術(shù)和密鑰管理技術(shù)。

3.1 訪問控制技術(shù)

訪問控制技術(shù)主要是確保只有授權(quán)用戶才可以訪問校內(nèi)資源，授權(quán)用戶也可以根據(jù)屬性的不同進(jìn)行分類訪問資源，比如教師可以訪問全部資源，而設(shè)備的供應(yīng)商只能訪問相應(yīng)的服務(wù)。

3.2 隧道技術(shù)

隧道技術(shù)是在互聯(lián)網(wǎng)的兩個結(jié)點間的通信通道，在此通道中可以將各種協(xié)議的數(shù)據(jù)包或者數(shù)據(jù)幀進(jìn)行封裝傳送，到達(dá)另一端時按照相應(yīng)的協(xié)議解開封裝。傳輸結(jié)構(gòu)如下圖1所示。

3.3 加密技術(shù)

加密技術(shù)作為數(shù)據(jù)通信的一項成熟的技術(shù)，是指在信息發(fā)送之前對數(shù)據(jù)包進(jìn)行加密，接收后再對該數(shù)據(jù)包進(jìn)行相應(yīng)解密的過程。目前VPN采用的加密算法包括對稱加密體系和公共密鑰體系[2]。

3.4 密鑰管理技術(shù)

密鑰管理技術(shù)主要作用是防止私鑰在公共網(wǎng)絡(luò)的傳遞中失竊，目前密鑰管理技術(shù)包括SKIP和IS AKMP/OAKLEY兩種管理技術(shù)[2，3]。

4 VPN在高校中的應(yīng)用

隨著高校信息化建設(shè)的高速發(fā)展，學(xué)校資源越來越豐富，為了安全考慮一般只有校園網(wǎng)用戶才可以訪問資源，這就限制了教師的活動范圍，而VPN技術(shù)很好地解決了此問題。學(xué)校采用深信服的SSLVPN設(shè)備，該設(shè)備可以提供統(tǒng)一的接入平臺，保證在校外可以安全、快捷的接入校園網(wǎng)內(nèi)網(wǎng)中進(jìn)行資源的訪問。VPN設(shè)備支持系統(tǒng)管理員對用戶管理、資源管理、角色授權(quán)、策略組管理等服務(wù)的配置。

校外用戶通過VPN接入校園內(nèi)網(wǎng)，利用遠(yuǎn)程主機(jī)的瀏覽器，通過正確的訪問地址、用戶名和密碼即可登錄校園內(nèi)網(wǎng)。具體來說，教師通過使用的終端設(shè)備即遠(yuǎn)程主機(jī)，通過互聯(lián)網(wǎng)與VPN設(shè)備的網(wǎng)關(guān)之間建立SSL連接，待SSL連接建立成功后就可進(jìn)入SSLVPN設(shè)備的登錄界面，教師輸入自己的用戶信息，這時驗證賬號信息成功后，遠(yuǎn)程用戶就可以訪問校園內(nèi)部資源了，例如訪問校園圖書館的圖書資源、期刊資源、oa系統(tǒng)以及教務(wù)系統(tǒng)等，連接過程如下圖2所示。SSLVPN網(wǎng)關(guān)在用戶訪問信息的應(yīng)答過程中有著關(guān)鍵的作用，首先SSLVPN會根據(jù)用戶訪問信息解析用戶權(quán)限，并將請求信息發(fā)送給校園網(wǎng)內(nèi)網(wǎng)的服務(wù)器，內(nèi)網(wǎng)服務(wù)器根據(jù)收到的信息做出應(yīng)答，轉(zhuǎn)發(fā)給SSLVPN網(wǎng)關(guān)，最后SSLVPN網(wǎng)關(guān)將應(yīng)答信息發(fā)送給遠(yuǎn)程連接的用戶。遠(yuǎn)程用戶訪問校園網(wǎng)的過程就是一個請求應(yīng)答的過程。

隨著高校信息化建設(shè)的推進(jìn)，VPN技術(shù)可以實現(xiàn)校外用戶與校內(nèi)用戶建立可信、安全的連接與資源共享，有利于高校信息化建設(shè)工作的展開，有效控制信息化建設(shè)的成本，實現(xiàn)資源的優(yōu)化配置，提高了學(xué)校的綜合競爭力。

參考文獻(xiàn)：

[1] 杭州華三通信技術(shù)有限公司，SSLVPN技術(shù)白皮書，2014.12.

[2] 何小剛.企業(yè)VPN構(gòu)建技術(shù)及其應(yīng)用[J].電子信息，2016，06：51-52.

[3] 汪海航，譚成翔，孫為清，等.VPN技術(shù)的研究與應(yīng)用現(xiàn)狀及發(fā)展趨勢[J].計算機(jī)工程與應(yīng)用，2001（23）.

[4] 許可，趙鼎新，王昭然.基于VPN的校園網(wǎng)遠(yuǎn)程接入系統(tǒng)的研究與實現(xiàn)[J].中國教育信息化，2010（11）：72-75.endprint